如何对新 WorkSpace 进行加密? - 部署 Amazon WorkSpaces 的最佳实践

如何对新 WorkSpace 进行加密?

客户可以在启动新 WorkSpace 时从 Amazon WorkSpaces 控制台或 AWS CLI 中或者使用 Amazon WorkSpaces API 选择“已加密的 WorkSpaces”选项。

为对卷进行加密,Amazon WorkSpaces 使用来自 AWS Key Management Service(AWS KMS)的 CMK。默认的 AWS KMS CMK 是在区域中首次启动 WorkSpace 时创建的。(CMK 具有区域范围。)

客户还可以创建客户管理的 CMK 以用于已加密的 WorkSpaces。CMK 用于对 Amazon WorkSpaces 服务用来加密每个 WorkSpace 卷的数据密钥进行加密。(严格来说,Amazon EBS 将对卷进行加密)。有关当前的 CMK 限制,请参阅 AWS KMS 资源配额

注意

不支持从已加密的 WorkSpace 中创建自定义映像。另外,对于在启动时启用了根卷加密的 WorkSpaces,可能需要多达一个小时的时间才能完成预置。

有关 WorkSpaces 加密过程的详细说明,请参阅 Amazon WorkSpaces 如何使用 AWS KMS。考虑如何监控 CMK 的使用情况,以确保对已加密的 WorkSpace 的请求得到正确处理。有关 AWS KMS 客户主密钥和数据密钥的其他信息,请参阅 AWS KMS 页面